Политика информационной безопасности

SaaS-платформа PowerDMARC принадлежит и управляется компанией MENAINFOSEC, Inc. PowerDMARC является сертифицированной платформой ISO 27001:2013.

PowerDMARC считает защиту данных абонентов одним из главных приоритетов. Как более подробно описано в данной Политике информационной безопасности PowerDMARC, PowerDMARC использует коммерчески обоснованные организационные и технические меры, разработанные для предотвращения несанкционированного доступа, использования, изменения или раскрытия данных абонентов, хранящихся в системах под контролем PowerDMARC.

Данные об абонентах и управление ими

PowerDMARC ограничивает доступ своего персонала к данным абонентов следующим образом:

  • Требуется уникальная авторизация доступа пользователей с помощью надежных логинов и паролей, включая многофакторную аутентификацию для доступа администраторов Cloud Hosting;
  • Ограничивает данные абонентов, доступные персоналу PowerDMARC по принципу "необходимо знать";
  • Ограничивает доступ персонала PowerDMARC к производственной среде PowerDMARC на основе деловой необходимости;
  • Шифрует учетные данные безопасности пользователя для доступа к производству; и
  • Запрещает персоналу PowerDMARC хранить данные абонентов на электронных портативных устройствах хранения, таких как компьютерные ноутбуки, портативные диски и другие подобные устройства.
  • PowerDMARC логически разделяет данные каждого из своих абонентов и поддерживает меры, направленные на предотвращение раскрытия данных абонентов или доступа к ним других клиентов.

Шифрование данных

PowerDMARC обеспечивает стандартное для отрасли шифрование абонентских данных следующим образом:

  • Реализует шифрование при транспортировке и в состоянии покоя;
  • Использует надежные методы шифрования для защиты данных абонентов, включая 256-битное шифрование AES для данных абонентов, хранящихся в производственной среде PowerDMARC; и
  • Шифрует все данные абонентов, находящиеся в облачном хранилище в состоянии покоя.

Сетевая безопасность, физическая безопасность и экологический контроль

  • PowerDMARC использует брандмауэры, средства контроля доступа к сети и другие методы, предназначенные для предотвращения несанкционированного доступа к системам, обрабатывающим данные абонентов.
  • PowerDMARC поддерживает меры, направленные на оценку, тестирование и применение исправлений безопасности ко всем соответствующим системам и приложениям, используемым для предоставления Услуг.
  • PowerDMARC контролирует привилегированный доступ к приложениям, обрабатывающим данные абонентов, включая облачные сервисы.
  • Сервисы работают на Amazon Web Services ("AWS") и Heroku и защищены средствами безопасности и экологического контроля Amazon. Подробная информация о безопасности AWS доступна на сайтах https://aws.amazon.com/security/ и http://aws.amazon.com/security/sharing-the-security-responsibility/. Отчеты AWS SOC Reports см. на сайте https://aws.amazon.com/compliance/soc-faqs/.
  • Данные абонентов, хранящиеся в AWS, всегда зашифрованы. AWS и не имеют доступа к незашифрованным данным абонентов.

Реагирование на инциденты

Если PowerDMARC станет известно о несанкционированном доступе или раскрытии данных абонентов, находящихся под его контролем ("Нарушение"), PowerDMARC сделает следующее:

  • Принять разумные меры для смягчения вредных последствий нарушения и предотвращения дальнейшего несанкционированного доступа или раскрытия информации.
  • После подтверждения факта нарушения, уведомить клиента в письменном виде о нарушении без неоправданной задержки. Несмотря на вышесказанное, PowerDMARC не обязана делать такое уведомление, если это запрещено действующим законодательством, и PowerDMARC может отложить такое уведомление по требованию правоохранительных органов и/или в свете законных потребностей PowerDMARC в расследовании или устранении последствий до предоставления уведомления.

Каждое уведомление о нарушении должно содержать:

  • Степень, в которой данные абонентов были или, как обоснованно считается, были использованы, получены, приобретены или раскрыты во время Нарушения;
  • Описание произошедшего, включая дату нарушения и дату обнаружения нарушения, если она известна;
  • объем нарушения, насколько это известно; и
  • Описание реакции PowerDMARC на нарушение, включая шаги, предпринятые PowerDMARC для уменьшения ущерба, причиненного нарушением.

Управление бизнес-сообществом

  • PowerDMARC поддерживает соответствующий план обеспечения непрерывности бизнеса и аварийного восстановления.
  • PowerDMARC поддерживает процессы для обеспечения отказоустойчивого резервирования своих систем, сетей и хранилищ данных.

Управление персоналом

  • PowerDMARC проводит проверку при приеме на работу, включая подтверждение личности и проверку уголовного прошлого для всех новых сотрудников в соответствии с действующим законодательством.
  • PowerDMARC проводит обучение своего персонала, участвующего в обработке данных абонентов, чтобы гарантировать, что они не собирают, не обрабатывают и не используют данные абонентов без разрешения и что они сохраняют конфиденциальность данных абонентов, в том числе после прекращения любой роли, связанной с данными абонентов.
  • PowerDMARC проводит плановый и выборочный мониторинг системной активности сотрудников.
  • При увольнении сотрудника, добровольном или вынужденном, PowerDMARC немедленно отключает весь доступ к системам PowerDMARC.
  • PowerDMARC проводит ежегодное обучение по информационной безопасности и постоянный инструктаж своих сотрудников.

Связаться с

Последнее обновление: 10 мая 2020 г.